设置Password=$password后语法错误

Question

错误：语法出现错误；请检查与MySQL服务器版本对应的手册，以便在第1行使用“WHERE用户名=”正确的语法。

代码如下：

$sql="UPDATE users SET Password=$pass_word WHERE Username='$_POST[username]'";

Answer 1

这是非常危险的编码。如果有人(传统上被称为小鲍比桌)将他的密码更改为

 hello';--

你的查询变成了

UPDATE users SET Password='hello';-- ' WHERE Username='$_POST[username]'";

作为一种评论，被解读为非常宽泛的

UPDATE users SET Password='hello';

您现在的错误是忘记了密码周围的引号--但是您应该做的是移到PDO。那么您的查询可能会变成

$stmt = $dbh->prepare('UPDATE users SET Password=? WHERE Username=?');
$stmt->execute($pass_word, $_POST['username']);

与PDO层一起处理避免麻烦。

同样的情况也适用于$_POST[username]，我建议您将它写为“{$_POST‘’username‘}”--它更容易被几个PHP工具解析，并允许您更灵活地处理复杂的数组。